Livello di riparazione CVSS per Git Commit

Naviga le tue risposte
3

Che cosa selezioni come livello di riparazione se è disponibile solo un commit Git?

Uno scenario molto comune per questo sono le vulnerabilità nel kernel di Linux, prima che una correzione diventi parte del ramo stabile è disponibile solo come commit.

Le opzioni sono:

  • Non definito (X)
  • Non disponibile (U)
  • Soluzione temporanea (W)
  • Correzione temporanea (T)
  • Correzione ufficiale (O)

Spesso utilizziamo la correzione temporanea, che potrebbe avere senso per il kernel Linux, ma per quanto riguarda i normali progetti Open Source, dove l'utilizzo del repository Git non è così comune come l'utilizzo del repo del kernel di Linux. Pertanto i clienti non effettueranno questo commit.

Che ne pensi? Il documentario ufficiale non è chiaro a questo punto.

    
posta 0lli.rocks 15.06.2016 - 11:01
fonte

1 risposta

1

Il livello di rimedio è una proprietà della vulnerabilità: è stata riparata o meno?

Trasformiamo ciascun livello in CVE-2016-3714 in vedere un esempio concreto:

  • Non disponibile : non sono disponibili correzioni o attenuazioni. La maggior parte dei bug inizia in questo livello
  • Soluzione alternativa : gli sviluppatori devono ancora inserirsi, ma puoi mitigare il rischio controllando il numero magico delle immagini caricate e consentendo solo i formati autorizzati
  • Correzione temporanea : gli sviluppatori stanno lavorando su una patch, nel frattempo raccomandano di aggiungere questa politica al file policy.xml.
  • Correzione ufficiale : è stata rilasciata una patch ufficiale , è necessario aggiornare l'installazione.

La domanda diventa quindi "A che punto è considerata rilasciata una patch?"

Questo varierà per ogni progetto: per alcuni è quando la correzione colpisce il loro ramo "tronco", per altri è quando l'aggiornamento raggiunge l'auto-aggiornamento, per una distro è quando colpisce i repository ufficiali.

È qualcosa che deve essere definito dal progetto e va oltre lo scopo del CVSS.

Se non sai come definirlo, pensa a come i tuoi utenti hanno preso in mano il tuo software e considera tutto ciò che è stato rilasciato attraverso lo stesso canale rilasciato.

    
risposta data 05.09.2016 - 22:22
fonte

Leggi altre domande sui tag

Come può un moderno sistema Windows / Linux essere compromesso da un overflow di heap in Chrome? Il controllo accessi consente l'efficienza della protezione del browser di origine